Weitere Informationen und den Download findest du auf der offiziellen Anlaufstelle de.wordpress.org
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 16
Like Tree2Likes

Thema: SECDASH - Das schnellste Security Plugin - Kostenlos für 3 WordPress Seiten

  1. #1
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9

    SECDASH - Das schnellste Security Plugin - Kostenlos für 3 WordPress Seiten

    Hallo WPDE Community,

    ich bin Gründer von SECDASH, einem Security und Management Plugin für WordPress (und in Zukunft auch TYPO3, Magento, Joomla, Drupal & co).

    Einmal installiert, identifiziert SECDASH sowohl WordPress Version als auch die Versionen aller installierten Plugins. Sobald eine Komponente einem Sicherheitsrisiko ausgesetzt oder die Website down ist benachrichtigen wir umgehend den User.

    Anders als bei anderen Security Plugins benachrichtigen wir nicht erst wenn es ein Sicherheitsupdate gibt, sondern bereits wenn im Internet irgendwo eine Sicherheitslücke veröffentlicht wird.

    Wieso ist das relevant?
    Entwickler haben nicht immer sofort Zeit ein Sicherheitsupdate zu entwickeln. Teilweise vergehen Wochen oder auch Monate bevor ein Sicherheitsupdate veröffentlicht wird. Das heißt für Website-Betreiber, dass ein großes Sicherheitsleck in der Website klafft ohne das man es weiß. SECDASH crawlt das Internet nach Sicherheitslücken und vergleicht diese in Real-Time mit allen Plugin-Versionen die installiert sind. Somit kann SECDASH sofort benachrichtigen, sobald nur das geringste Sicherheitsrisiko besteht.

    SECDASH ist für drei WordPress Seiten für immer kostenlos und die Installation und Einrichtung dauert ca. 2 Min.
    Ich lade die Community herzlich ein unser Plugin zu testen und freue mich immer auf Feedback / Kritik! Danke

    https://wordpress.org/plugins/secdash/
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  2. #2
    PostRank: 10 Avatar von Hille
    Registriert seit
    22.01.2012
    Beiträge
    6.671

    SECDASH - Das schnellste Security Plugin - Kostenlos für 3 WordPress Seiten

    Welche Quellen benutzt ihr denn überhaupt, um eine angebliche Sicherheitslücke zu identifizieren ? Und was passiert, wenn der Benutzer dann den Hinweis erhält, Seite vom Netz nehmen ? Und was ist, wenn euer Plugin selbst eine Lücke enthält, bekommt der Benutzer dann auch ne Nachricht? Und was hat ein Security Plugin mit Monitoring zu tun?

  3. #3
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Hi Hille,

    das sind gute Fragen die Du stellst, lass mich zu jeder etwas ausführlicher antworten:



    1.) Woher beziehen wir unsere Sicherheitslücken


    Das Spannende an SECDASH ist, dass wir neben "strukturierten" Quellen wie CVE, ExploitDB und Metasploit auch einen Crawler für "unstrukturierte" Quellen wie Mailingslists, Twitter und Foren entwickelt haben. Das erlaubt es uns aus einer vielzahl von Quellen sehr schnell auf neue Bedrohungen zu reagieren, ohne dass jemand die Lücke erst in einer der oben genannten Datenbanken veröffentlicht hat. Zum Beispiel haben wir erst heute unsere Nutzer bereits ~6 Minuten nach dem Erscheinen des WordPress 4.2.3 Sicherheitsreleases über dieses informiert.


    2.) Was kann der Nutzer mit unseren Informationen anfangen?


    Wir arbeiten sehr stark daran unsere Informationen "actionable", also sofort umsetzbar zu machen. Daher zeigen wir an, sofern es ein Update gibt, dass eine von uns identifizierte Lücke schließt. In Kürze werden wir auch einen weiteren Hinweis verschicken, sobald ein solches Update später veröffentlicht wird. In ca 40% der Fälle haben die Sicherheitsforscher "Responsible Disclosure" betrieben und es steht ein Update bereit, in den anderen Fällen weisen wir auf das Risiko hin und jeder kann selbst entscheiden, ob er das betroffenen Plugin deaktivieren möchte oder nicht.

    Wenn du eine Sicherheitslücke hast und es kein passendes Update dazu gibt, kannst du es wie viele unserer Kunden machen: A) Selber schließen, B) Plugin mit einem anderen ersetzen oder C) Plugin deaktivieren. Dieses proaktive Handeln gibt dir einen großen Sicherheitsvorteil, verglichen zum "nur dasitzen und warten".



    3.) Was ist wenn das SECDASH Plugin eine Sicherheitslücke enthält?


    Unser Plugin ist im WP Repository und über Github (https://github.com/secdash/secdash_wp_plugin) verfügbar, Du kannst Dir daher gerne selbst ein Bild über die Sicherheit unseres Plugins machen. Bei der Entwicklung haben wir höchste Sorgfalt walten lassen und immer einen besonderen Wert auf Sicherheit gelegt, so dass wir uns sicher sind, dass unser Plugin keine Gefährdung für unsere Nutzer darstellt.


    4.) Was hat Monitoring mit Security zu tun?

    Gute Frage! Unsere Engine fragt regelmäßig die installierten WP und Plugin Versionen auf allen SECDASH installationen ab, diesen Prozess nutzen wir auch, um unsere Nutzer zu warnen, sollten ihre Seiten einmal nicht erreichbar sein.

    Viele Grüße

    SECDASH.com
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  4. #4
    PostRank: 9 Avatar von chilidog
    Registriert seit
    17.01.2006
    Ort
    Dashboard
    Beiträge
    1.147
    Hab mir das spaßeshalber mal angeschaut und auch installiert.

    Finde es nur seltsam, dass Ihr beiden jeweils ein Review unter https://wordpress.org/support/view/p...eviews/secdash geschrieben habt - ist sowas üblich, dass man sein PlugIn selbst bewertet?

    Andere Sache, mir meldet es ein Update des PlugIns "Enable Media Replace" - meine installierte Version ist die 3.0.3 - unter "Update" steht bei Euch für die "angeblich" neueste Version 3.01 - aber laut https://wordpress.org/plugins/enable-media-replace/ habe ich mit der Version 3.0.3 die neueste Version. Warum zeigt es mir dann ein "Update" an?

    Werde Euer PlugIn mal testen und beobachten.

  5. #5
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Hi Chilidog,

    Vielen Dank! Du hast einen Bug aufgedeckt. Das dir eine andere Version angezeigt wird liegt daran wie die Beta Versionen des Plugins benannt wurden. Wir arbeiten daran das möglichst schnell zu fixen!

    Bezüglich der Review: Wir nutzen beide unser eigenes Produkt auf unseren Blogs und sind davon aus eigener User-Erfahrung sehr überzeugt. Wir machen auch kein großes Geheimnis daraus, dass wir das beide sind (nutzen ja unseren realen Profile). Wenn wir nicht 5-Sterne-überzeugt von unserem eigenen Produkt wären, wie sollen wir dann Andere davon überzeugen?

    Falls dir ansonsten irgendwas auffällt, freuen wir uns auf dein Feedback!
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  6. #6
    Brawler
    Gast
    Hallo,

    stolzer Preis für ein kleines "Plugin", das nichts anderes macht, als nach Hause zu telefonieren und Daten zu übermitteln.

    Sorry, aber ich sehe es mittlerweile als kritisch an, externe Services in die eigene Webseite einzubinden. Das Warum sollte Euch ja selber klar sein...

    Davon abgesehen finde ich es belustigend, dass ihr brav ein Muster für den Lizenzschlüssel vorgebt:

    private $license_key_regex = "/^[a-f0-9]{32}$/";
    Wenn ich Zeit habe, installiere ich das mal im Vagrant und geb genügend Futter vor, Alarm zu schlagen.

  7. #7
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Hi Brawler, danke für Dein Feedback!


    Wir visieren mit dem Preis keine Endkonsumenten (wie z.B. Blogger) an, sondern Web Professionals wie z.B. Freelancer und Agenturen. Bei unseren tatsächlichen Kunden schafft unser Dienst so viel Kostenersparnis, dass die Preise mehr als gerechtfertigt sind. Wir können das sehr gut beurteilen weil wir sowohl Produktentwicklung, als auch Preismodell mit einigen Hundert Agenturen besprochen und diskutiert haben.


    Das Produkt „SECDASH“ ist nicht nur das Plugin, sondern alles was noch dahinter steht. Funktionen wie Uptime-Monitoring, Änderungshistorie, Sicherheitsbenachrichtigungen, Offline Benachrichtigungen sind ja alle im Dashboard verfügbar und schaffen bei unseren Zielkunden Wert für den wir auch etwas verlangen können.


    Wir haben einen kostenlosen Plan mit drei WordPress Installationen. Unserer Meinung nach sollte das selbst für ambitionierte Blogger reichen.



    Ich kann Dein Besorgnis verstehen, wenn man sich länger mit Security und Datenschutz auseinandersetzt, wird man da sehr kritisch. Aus diesem Grund war es uns auch sehr wichtig, dass wir unser Plugin auf GitHub veröffentlichen, damit jeder selbst prüfen kann, was wir denn an Daten verschicken: Wir senden lediglich die installierten WordPress und Plugin Versionen so wie die Version Deines Webservers an unseren Server. WIR WERDEN NIE(!) kundenbezogene- oder nutzungsbezogene Daten (Traffic, Besucher, IPs, Cookies) aus Deinem WP auslesen!


    Wieso machen wir das? Auf unserem Server pflegen wir kontinuierlich eine Datenbank mit Sicherheitslücken zu allen uns bekannten Produkten und Versionen, insgesamt können wir so tausende Bedrohungen umgehend zuordnen und Dich auch über neue Bedrohungen quasi in Echtzeit informieren. Wie wir diese Datenbank befüllen habe ich in einem vorigen Post bereits ausführlich erklärt.


    Was die Kritik zum Lizenzschlüssel angeht: Es gibt ~3*10^38 mögliche Schlüssel die Du daraus generieren kannst, viel Erfolg dabei einen zu treffen, der unserem Server bekannt ist


    Bei der Installation in einer VM musst Du darauf achten, dass die SITE_URL von außen erreichbar ist, sonst wirst Du bei der Initialisierung eine Fehlermeldung erhalten, dass unsere Engine Deine Seite nicht erreichen kann.


    Ich weiß, es ist schwer Vertrauen herzustellen, aber ich denke die Menschen hinter einer Idee zu zeigen ist ein wichtiger Schritt. Daher kannst du auf unserer Website (secdash.com) auch unsere privaten Mailadressen und Handynummern einsehen. Würden wir mit Deinen Daten etwas "Böses" vorhaben, würden wir uns hinter dem Unternehmen verstecken.

    Viele Grüße!
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  8. #8
    PostRank: 10 Avatar von Tubedesigner
    Registriert seit
    24.04.2015
    Ort
    Köln
    Beiträge
    2.048
    Zitat Zitat von secdash Beitrag anzeigen
    (...)
    Einmal installiert, identifiziert SECDASH sowohl WordPress Version als auch die Versionen aller installierten Plugins. Sobald eine Komponente einem Sicherheitsrisiko ausgesetzt oder die Website down ist benachrichtigen wir umgehend den User.
    (...)
    Klingt für mich nach verkapptem Datensammeltool in Plugingestalt...
    Monika and SuMu like this.

  9. #9
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Hi Tubedesigner,


    danke für Deine Antwort!

    Darf ich fragen, was Du mit Datensammeltool genau meinst? Natürlich speichern wir die von Dir benutzten Softwareversionen, um Dich möglichst schnell auf Bedrohungen hinweisen zu können, aber darüber hinaus speichern wir keinerlei Daten.

    Ich würde gerne besser verstehen was Deine Bedenken sind, was meinst Du würden wir noch sammeln?



    Lass mich das kurz aus meiner Perspektive schildern, wieso mich Deine "Daten" (über installierte Softwareversionen hinaus) nicht interessieren?



    1.) Sie passen nicht zu unserem Geschäftsmodell
    Wie verdienen wir Geld? Die meisten unserer Kunden sind Internetagenturen, die 20-150 Websites von Kunden warten. Der Aufwand so viele Seiten im Blick zu behalten, war der Auslöser für uns SECDASH zu entwickeln. Wenn wir anfangen würden, irgendwelche weiteren Daten auszulesen würden wir unsere Kunden vergraulen und uns selbst schaden.


    2.) Die Daten bringen uns nichts
    Die Daten haben keinen gesonderten Wert für uns. Mit SECDASH bauen wir eine Lösung, die sich an Unternehmen und Agenturen richtet, neben WP unterstützen wir im internen Betatest bereits Magento und TYPO3. Warum? Die meisten Kunden, die sehr viele Websites warten müssen, benutzen nicht nur ein CMS. Irgendwelche nutzerbezogenen Daten bringen uns hier nicht weiter.


    3.) Es wäre rechtlich und moralisch falsch
    Wir geben ganz klar an, keine Nutzerdaten auszulesen. Daran wollen und MÜSSEN wir uns halten. Wir sind und bleiben ein deutsches Unternehmen und müssen uns daher zum Glück an die strengen deutschen Datenschutzrichtlinien halten.

    Viele Grüße
    Khanh, Co-Founder & Geschäftsführer von SECDASH.com
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  10. #10
    Brawler
    Gast
    Also,

    der Preis ist für Agenturen nicht wirklich attraktiv, da ein Mehrwert nicht gegeben ist. Zudem benötigen Agenturen kein externes Monitoring oder sonstigen Leistungen, da die das selber machen. Abgesehen davon brauche ich keinen externen Service, um über Aktualisierungen benachrichtigt zu werden. Das macht WordPress und auch die anderen Systeme von Haus aus. Bei den Enterprise-Lösungen wie Magento oder Typo3 wird besonders bei Sicherheitspatches gesondert darauf hingewiesen. Professionelle Dienstleister bedienen das Thema Sicherheit in allen Belangen selbst.

    Trotzdem finde ich das Ansinnen gut und auch eine Notwendigkeit mag gegeben sein. Denn nicht jeder Plugin-Author sorgt für eine fortlaufende Kontinuität in Sachen Aktualisierungen geschweige denn Hardening.

    Keys: Die muss man nicht alle abarbeiten - vielleicht findet sich relativ schnell einer, der intern verwendet wird. Solange ihr noch unbedeutend seid, wird sich da auch sicherlich kein Osteuropäer die Mühe machen.

    Ihr erhebt Daten und speichert diese auf Eurem Server > Datensammeltool.

    Persönlich habe ich eine starke Abneigung gegenüber diesen Dingen, bin in keinem sozialen Netzwerk vertreten, speichere meine Daten ausschließlich lokal und verwende ein uraltes Handy mit Dot-Matrix-Display ohne GPS und Wifi (trotzdem ist der Aufenthaltsort durch die Funkzelle nachvollziehbar). Ich möchte nicht, dass andere Auswertungen und Statistiken über Dinge erstellen, die sie nichts angehen. Diese Zahlen sind mittlerweile in unserer Gesellschaft eine - mehr oder weniger - imaginäre Währung.

    Ich zitiere mal eine nicht näher nennenswerte Person:

    "If you'd like to make money, create a tool everyone likes. Make them register, even the free ones. Create impressive statistics, serve them to the right ppl, get an appointment and be a billionaire within days!"

    Kein Fingerzeig, aber ein Problem, mit dem ihr sicherlich nachhaltig zu kämpfen haben werdet.

Seite 1 von 2 12 LetzteLetzte

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •